BUENAS PRCTICAS A CONSIDERAR DE ACUERDO AL MARCO DE RE FERENCIA COB IT GESTION DE RIESGOS PO9 Evaluar y administrar los riesgos de TI

PROCESO
PO9.1 Alineacin de la administracin de riesgos de TI y del negocio

ACCIONES
Integrar el gobierno, la administracin de riesgos y el marco de control de TI, al marco de trabajo de administracin de riesgos de la organizacin. Esto incluye la alineacin con el apetito de riesgo y con el nivel de tolerancia al riesgo de la organizacin Establecer el contexto en el cual el marco de trabajo de evaluacin de riesgos se aplica para garantizar resultados apropiados. Esto incluye la determinacin del contexto interno y externo de cada evaluacin de riesgos, la meta de la evaluacin y los criterios contra los cuales se evalan los riesgos Identificar todos aquellos eventos (amenazas y vulnerabilidades) con un impacto potencial sobre las metas o las operaciones de la empresa, aspectos de negocio, regulatorios, legales,

PO9.2 Establecimiento del contexto del riesgo.

PO9.3 Identificacin de eventos

tecnolgicos, de sociedad comercial, de recursos humanos y operativos. Determinar la naturaleza del impacto positivo, negativo o ambos y dar mantenimiento a esta informacin. Evaluar de forma recurrente la posibilidad e impacto de todos los riesgos identificados, usando mtodos cualitativos y cuantitativos. La posibilidad e impacto asociados a los riesgos inherentes y residuales se debe determinar

PO9.4 IT Evaluacin de riesgos

de forma individual, por categora y con base en el portafolio. Identificar los propietarios de los riesgos y a los dueos de procesos afectados, y elaborar y mantener respuestas a los riesgos que garanticen que los controles rentables y las medidas de seguridad mitigan la exposicin a los riesgos de forma continua.

PO9.5 Respuesta a los riesgos

La respuesta a los riesgos debe identificar estrategias de riesgo tales como evitar, reducir, compartir o aceptar.

Al elaborar la respuesta, considerar los costos y beneficios y seleccionar respuestas que limiten los riesgos residuales dentro de los niveles de tolerancia de riesgos definidos.

Asignar prioridades y planear las actividades de control a todos los niveles para implantar las respuestas a los riesgos, identificadas como necesarias, incluyendo la identificacin de

PO9.6 Mantenimiento y monitoreo de un plan de accin de riesgos

costos, beneficios y la responsabilidad de la ejecucin. Buscar la aprobacin para las acciones recomendadas y la aceptacin de cualquier riesgo residual, y asegurarse de que las acciones comprometidas son propiedad del dueo (s) de los procesos afectados. Monitorear la ejecucin de los planes y reportar cualquier desviacin a la alta direccin.

 GESTION INTEGRAL DE PROYECTOS COBIT RELACIONADO CON PMBOK P010 Administrar proyectos

P010.1 Marco de trabajo para la administracin de programas

P010.8 Recursos del proyecto

P010.9 Administracin de riesgos del proyecto

P010.2 Marco de trabajo para la administracin de proyectos

P010.7 Plan integrado del proyecto

PO10.10 Plan de calidad del proyecto

P010.3 Enfoque de administracin de proyectos

P010.4 Compromiso de los interesados

PO10.11 Control de cambios del proyecto

PO10.14 Cierre del proyecto

P010.6 Inicio de las fases del proyecto

P010.5 Estatuto de alcance del proyecto

PO10.12 Planeacin del proyecto y mtodos de aseguramiento

PO10.13 Medicin del desempeo, reportes y monitoreo del proyecto